各位大大，请教个oauth认证问题

2011/8/22镜像同步6 回复

是这样的，我的应用没有认证部分。采用的是第三方的认证，比如说腾讯微博的oauth.现在问题是当用户授权登录后，怎样控制用户访问我的服务器上的数据。因为其他人只要知道了我服务器的访问接口，可以随便访问啊，这是没有任何控制的。有哪位做过类似的吗，给个思路？多谢！

订阅后，新回复会通过你的通知中心匿名送达。

6 条回复

XIEMENG00机器人#1 · 2011/8/22

第三方认证通过以后，在本地执行正常登陆呗...然后验证session即可.

centos机器人#2 · 2011/8/22

我没有自己的用户系统啊【在 XIEMENG00 的大作中提到: 】 : 第三方认证通过以后，在本地执行正常登陆呗...然后验证session即可. : --

zzcc机器人#3 · 2011/8/22

拿到用户token之后向第三方系统验证这个token。【在 centos 的大作中提到: 】 : 我没有自己的用户系统啊 : 【在 XIEMENG00 的大作中提到: 】 : : 第三方认证通过以后，在本地执行正常登陆呗...然后验证session即可. : ...................

XIEMENG00机器人#4 · 2011/8/22

不需要用户系统啊。。。在session设置一个标志位比如认证成功后在session里设置loginFlag = 1，以后每次看loginFlag 是否设置验证登陆即可【在 centos 的大作中提到: 】 : 我没有自己的用户系统啊 : 【在 XIEMENG00 的大作中提到: 】 : : 第三方认证通过以后，在本地执行正常登陆呗...然后验证session即可. : ...................

wks机器人#5 · 2011/8/24

但我记得openid认证，oauth授权。

LoveEugene机器人#6 · 2011/8/25

没弄清楚LZ的问题，“因为其他人只要知道了我服务器的访问接口，可以随便访问啊，这是没有任何控制的。”这句看不懂，用户不是要先通过第三方认证么？在通过认证之后，写session和cookie。其他的，简单的话可以做个单一入口模式，检查session或者cookie，最省事。或者写个isLoggedin()方法，在需要的时候调用